我正在关注bcc Tutorial并尝试执行trace-bpfcc命令:sudo trace-bpfcc 'sys_execve "%s", arg1'
该命令失败并出现错误:
cannot attach kprobe, probe entry may not exist Failed to attach BPF program b'probe_sys_execve_1' to kprobe b'sys_execve'
__x64_sys_execve在网上搜索时,我发现如果中缺少该符号可能会发生这样的错误/proc/kallsyms,但我那里有一个。
我根本没有任何内核开发经验,我需要做什么来解决这个问题?
我的发行版是 Ubuntu 20
您自己找到了正确的符号:
__x64_sys_execve,您希望在运行命令时使用相同的符号:在您的内核中没有简单地调用函数
__sys_execve,您必须匹配 BCC 的确切符号才能找到相关函数。